Система контроля доступа для OpenWrt и Debian - openNDS, свежая версия 5.0.0. Может Captive Portal, всякие разные авторизации, фильтры и ограничения, надо ставить в разрыв трафика.

Спасибо огромное нашему читателю что напомнил о PacketFence, вдогонку к предыдущему посту. Это полноценная система контроля доступа к сети NAC, с широкими возможностями интеграции с многими и многими устройствами, многими протоколами, базами данных пользователей и другими продуктами. Это комплексное решение для больших сетей в том числе. В апреле вышла уже версия 10.0, внутри, кстати, Perl.

Как управляться с PF, очень много слайдов на самые разнообразные темы с конкретными примеры и разбором различных ситуаций.

В блоге Telia Carrier про RPKI, как прошли первые три месяца после начала фильтрации недействительных анонсов, что к этому привело и куда двигаться дальше. Есть немного графиков, применяемые инструменты и мысли по поводу.

Как делать удалённый доступ по VPN правильно, много и подробно, с примерами на понятийном уровне.

🕰 Time on Unix - большой пост о том, что такое время в Unix и Linux. Системное, хардварное время, таймеры, обновление времени, что такое atime, ctime, mtime, таймзоны и всё вот это вот собранное в одной статье. А для тех, кому будет мало прочитанного, доступна большая порция ссылок с дополнительными подробностями. #time #напочитать

OSPF шпаргалки, качественно и количественно.

WireGuard скоро везде.

Хороший выпуск, но всё равно ничего не понятно :-D для тех кто не в теме. Для тех кто следит за событиями и так за ними следит, поэтому это выпуск для них, со всеми знакомыми персонажами, разговорами и шутками. Больше про административные вещи.
Вторая часть, про то что такое RIPE и RIPE NCC и как это вообще работает.

Eсли вы LIR не забывайте поучаствовать в предстоящем событии https://www.ripe.net/participate/meetings/gm/meetings/may-2020/registration, собственно ваш статус к этому обязывает.

Ладно, шутки в сторону! Давайте уже хоть как-то серьёзно поговорим про IPv10, NewIP и прочая. Ибо пора уже хоть немого разобраться, где горячечный бред, где доля разума и каков вообще жизненный путь новых стандартов.

https://linkmeup.ru/blog/558.html

​Как работает sha256, мультик, ну почти, в консоли.
Мне тут вспомнилось, что когда на лабах попадалось задание скучное, вроде переставьте строки массива так да сяк, я делал задание с анимацией, пошагово, чтобы циферки бегали, цвета разные, летало всё, иногда даже с музыкой. Но тут не от скуки, тут это в пользу.

На Habr про то как маршрутизировать поезда, интересно и очень знакомо, но на железной дороге такое появилось очень давно. А потом пришёл Дейкстра и сказал, что у нас тоже будут семафоры и критические секции. Статья как раз и хороша описанием алгоритма, а не техническими деталями и какие там железки стоят.

Наверное уже слышали что GTA V можно забрать официально бесплатно? А следствием этого получили взрывной рост трафика, которого и так много выше сезонного.
Я долго искал наглядный публичный график и не нашёл, но в тематических чатиках много примеров и разговоров. На IX это плохо видно, наверное, потому что Амазон не очень охотно пирится через общий пиринговый вилан. Вот тут, скорее всего оно, начиная с 15 числа. У нас трафик бежит с апстримов и его правда много, но провайдеры свои магистрали не выставляют на всеобщее обозрение, хотя раньше это вполне практиковалось.
Интернет тонкая штука и завалить его очень легко, достаточно одной популярной раздачи, двух чтобы наверняка, и контрольное обновление Microsoft в не очень удачное время.

ISC активно разрабатывают новую систему мониторинга и видимо управления - Stork, для своих BIND и Kea. Внутри много открытых продуктов, API, интеграция с Prometheus и Grafana. Готовое решение из коробки, если больше ничего не используется.

В блоге Twitter про поиск проблемы с фильтрами и маршрутизацией внутри своей инфраструктуры. Может быть не столько интересна сама проблема сколько описание пути её поиска и конкретных внутренностей Linux, где и что посмотреть. И ещё раз про rp_filter в strict режиме, который смог заблокировать трафик даже внутри сетевой подсистемы от себя к себе.

Превратиться в шторм может не только широковещательный трафик, а вполне себе обычный. Достаточно иметь петлю маршрутизации вроде такой:

$traceroute 192.0.2.1

1 1ms 0ms 0ms 192.0.2.10
2 2ms 2ms 1ms 192.0.2.12
3 4ms * 2ms 192.0.2.18
4 4ms 6ms 3ms 192.0.2.17
5 3ms 3ms * 192.0.2.18
6 4ms 2ms 2ms 192.0.2.17
...

и тогда на интерфейсе между двумя маршрутизаторами участниками петли будет расти трафик. Не бесконечно, TTL сделает своё дело, но кратно и 10Мбит/c легко превратятся в 1Гбит/c.

Если нет каких-то особых закавык с маршрутизацией, то такое часто случается если забыть написать ip route null или другой фильтр для сети которая непосредственно нигде не подключена, например на VPN сервере. Когда маршрутизатор имеет не полную информацию и не может проверить достижимость каждого адреса, чтобы ответить icmp unreachable.

И конечно, это можно использовать как дешёвый способ амплификации для тестов: 10Мбит/c сгенерирует любой сервер, а кратно усиленный трафик можно отзеркалировать в нужное место.

Интересная находка NXNSAttack, новая атака усиления с использованием DNS. Интересная тем, что по сути эта атака на протокол, её можно попытаться ослабить, но не предотвратить в корне. От конкретной реализации зависит только степень усиления, BIND может в 1000 раз. Суть в рекурсивном разрешении имён, когда вместо настоящих NS записей подставляются имя жертвы и резолвер сам генерирует трафик пытаясь выяснить адрес.
Многие уже написали что что-то сделали и надо обновиться или внести правки в конфигурацию. Если ваш сервер поддерживает rate limit, то надо настроить rate limit, если он ещё не настроен.

P.S. Утром поленился почитать подробности, спасибо большое нашим подписчикам что растолкали, без вас никуда.

Популярные ресурсы и их отношение к IPv6, структурировано по разделам.
Если чего-то не хватает, то можно попытаться дополнить или форкнуть.

Разведка доложила ужасную вещь - не все знают, что у винды уже давно есть свой tcpdump и даже приложуха для анализов дампов. Правда последнюю всё же придётся скачать отдельно, но pktmon уже давно идёт из коробки.
https://www.bleepingcomputer.com/news/microsoft/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use/

И совсем уж чОрная магия: у них даже есть тулза для конвертации etl в pcap. Так что хватит там уже страдать по углам.

https://github.com/microsoft/etl2pcapng